上个月去一家中型制造企业做交流,IT总监跟我倒苦水说,集团要求他们今年完成数据分类分级,但全公司上上下下几千号人,数据存了几十个系统,光ERP就有十几年的历史数据,根本不知道从哪里下手。我问他有没有先从核心业务数据开始,他说试过,但分着分着就变成了IT部门自己在弄,业务部门参与度很低,最终分类结果也没人用。
这个案例特别典型。数据分类分级这件事,很多企业都觉得重要,但做起来不是跑偏就是做不下去。问题出在哪儿呢?我觉得第一个问题是很多人把分类和分级搞混了。分类是按业务属性把数据归到不同领域,比如客户数据、财务数据、生产数据、研发数据;分级是按数据的重要性或者敏感程度来划分等级,比如核心、重要、一般。分类是分级的基础,分类做不对,分级就是空中楼阁。
数据安全法第二十一条明确要求国家建立数据分类分级保护制度,企业应当根据法律、行政法规的规定,对数据进行分类分级保护。个人信息保护法对个人信息也有分类分级的要求。所以分类分级不是选择题,是必答题。不管你是金融、医疗、制造还是互联网,都得做。
从实战角度,我建议企业分四个步骤来落地。第一步是数据资产盘点,这一步最花时间但也至关重要。你要搞清楚公司到底有哪些数据,存在哪里,谁在用,流向哪里。第二步是建立分类目录,一般是按照业务领域来分,比如人力资源类、客户管理类、研发技术类、财务类、供应链类等。每个大类下面可以再分子类,但层级不建议超过三层,太复杂了业务部门记不住,落实不下去。第三步是定级标准,常见的是三级制:核心级、重要级、一般级。核心级通常指一旦泄露会对企业造成重大损害或者有法律风险的数据,重要级指影响企业内部运营但可控的数据,一般级指公开或低敏感度的数据。第四步是打标和落地,给每个数据资产打上类别和级别的标签,并在系统中通过权限管理、加密措施等方式落实保护策略。
实际做的时候有几个容易踩的坑。一个是贪大求全,想把所有存量数据一次性分完,结果做到一半就卡住了。建议采取迭代方式,先做增量数据,再做存量数据中最核心的那部分。第二个坑是分类分级工作变成了纯IT项目,业务部门只是被动配合。其实业务部门才是最清楚自己数据价值的人,应该让业务部门的负责人在分类分级中有主导权,IT负责技术和流程支撑。第三个坑是分类分级做完就完了,没有跟日常的安全管理动作联动起来。级别分出来了,但不同级别的数据在访问控制、加密、审计、备份方面没有差异化的保护策略,分类分级就成了纸面文章。
还有一个容易被忽略的事情是数据分类分级不是一次性的工作。业务在变,系统在变,数据类型也在变,你得建立一个动态调整机制。建议每年至少做一次全面盘点,业务有重大调整时也要及时重新评估。不少企业做分类分级的时候花了很多精力,但第二年就没人维护了,第三年分出来的结果跟实际情况已经对不上,反而增加了管理负担。
说到工具,目前市面上有不少数据分类分级的工具和平台,但我不建议一上来就买工具。先靠手工把分类目录和定级标准定好,明确各个业务线的责任人,然后才考虑用工具来辅助发现和打标。没有标准就上工具,结果大概率是工具跑出来的分类结果跟业务实际对不上,反而要多花时间修正。
朋友那个制造企业后来换了个思路,不再追求一次性全做完,而是选了财务和研发两个数据量相对集中、敏感度又高的领域先试点。用了两个月时间盘清楚了这两个领域的数据资产,建立了一套相对成熟的分类分级流程和方法论,然后再往采购、生产、销售领域推广。试点阶段的经验帮他们省了很多弯路,现在全集团的数据分类分级已经基本完成,正在做差异化的安全保护策略落地。这个节奏我觉得是比较务实的。
